A vulnerabilidade crítica do JetBrains TeamCity pode ser explorada para lançar ataques à cadeia de suprimentos (CVE-2023-42793)

Views: 4196
0 0
Read Time:2 Minute, 6 Second

A empresa de desenvolvimento de software JetBrains corrigiu uma vulnerabilidade crítica (CVE-2023-42793) em sua solução TeamCity de integração e entrega contínua ( CI/CD ), que pode permitir que invasores autenticados obtenham execução remota de código e obtenham controle do servidor.

“Em 25 de setembro de 2023, o Rapid7 não tinha conhecimento da exploração selvagem de CVE-2023-42793 e nenhum código de exploração público estava disponível”, compartilhou Caitlin Condon, chefe de pesquisa de vulnerabilidades do Rapid7.

Sobre CVE-2023-42793

CVE-2023-42793 é uma vulnerabilidade de desvio de autenticação que afeta as versões 2023.05.3 e anteriores do TeamCity On-Premises.

De acordo com Stefan Schiller, pesquisador de segurança do Sonar que relatou a falha, os invasores não precisam depender da interação do usuário para acioná-la.

“[A vulnerabilidade] permite que os invasores não apenas roubem código-fonte, mas também armazenem segredos de serviço e chaves privadas. E é ainda pior: com acesso ao processo de construção, os invasores podem injetar código malicioso, comprometendo a integridade das versões de software e impactando todos os usuários downstream”, acrescentou Shiller .

Atualize, corrija ou bloqueie o acesso da Internet ao servidor

CVE-2023-42793 foi corrigido na versão 2023.05.4 do TeamCity On-Premises.

Os clientes que não conseguirem atualizar para ele podem implementar um patch, mas devem saber que o patch corrige apenas essa falha. Os usuários que executam o TeamCity 2018.2 e posteriores não precisarão reiniciar o servidor para habilitar o plug-in depois de instalado, mas aqueles que executam as versões 8.0 a 2018.1 devem reiniciar o servidor.

“Embora não divulguemos detalhes técnicos neste momento, queremos enfatizar a importância de uma ação imediata para mitigar esse risco. Como esta vulnerabilidade não requer uma conta válida na instância de destino e é trivial de explorar, é provável que esta vulnerabilidade seja explorada em estado selvagem”, comentou Schiller, e observou que Shodan mostra atualmente mais de 3.000 servidores TeamCity locais acessíveis da internet.

Caso a atualização ou instalação do patch não possa ser feita imediatamente, os usuários devem mitigar o risco de exploração tornando seu servidor temporariamente inacessível.

ATUALIZAÇÃO (28 de setembro de 2023, 05h40 horário do leste dos EUA):

Rapid7 publicou uma análise técnica da vulnerabilidade e compartilhou possíveis indicadores de comprometimento.

ATUALIZAÇÃO (29 de setembro de 2023, 08h55 horário do leste dos EUA):

Greynoise está rastreando muitos endereços IP a partir dos quais estão sendo feitas tentativas de exploração CVE-2023-42793.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS